<安全防范>警惕暗黑恶意程序发布者,木马,病毒的防范和查杀

最近有朋友发生了几件不愉快的事，有不少的人因为中木马，导致ACC被盗，所以木马的防范和查杀病毒和恶意攻击程序逼在眉睫。当然不随便下载使用一些不明来历的东西是最安全的方法。

中木马的特征：在使用计算机的过程中您可能遇到过如下情况: 计算机反应速度发生了明显变化，硬盘在不停地读写,鼠标不听使唤,键盘无效,自己的一些窗口在被关闭，新的窗口被莫名其妙地打开，网络传输指示灯一直在闪烁……这些不正常现象表明: 您的计算机中了木马病毒。

万一不小心中了木马，用杀毒软件是最有效的方法，万一没有杀毒软件，就需要手工清除藏在电脑里的病毒和木马。 首先检查注册表， 注册表一直都是很多木马和病毒“青睐”的寄生场所，注意在检查注册表之前要先给注册表备份。
1、检查注册表中的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run和HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runserveice，查看键值中有没有自己不熟悉的自动启动文件，扩展名一般为EXE，然后记住木马程序的文件名，再在整个注册表中搜索，凡是看到了一样的文件名的键值就要删除，接着到电脑中找到木马文件的藏身地将其彻底删除。比如“爱虫”病毒会修改上面所提的第一项，BO2000木马会修改上面所提的第二项)。

2、检查注册表HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main中的几项(如Local Page)，如果发现键值被修改了，只要根据你的判断改回去就行了。恶意代码(如“万花谷”)就经常修改这几项。

3、检查HKEY_CLASSES_ROOT\inifile\shell\open\command和HKEY_CLASSES_ROOT\txtfile\shell\open\command等等几个常用文件类型的默认打开程序是否被更改。这个一定要改回来，很多病毒就是通过修改.txt、.ini等的默认打开程序而清除不了的。例如“罗密欧与朱丽叶”BleBla病毒就修改了很多文件(包括.jpg、.rar、.mp3等)的默认打开程序。

接着检查你的系统配置文件，其实检查系统配置文件最好的方法是打开Windows“系统配置实用程序”(从开始菜单运行msconfig.exe)，在里面你可以配置Config.sys、Autoexec.bat、system.ini和win.ini，并且可以选择启动系统的时间。
1、检查win.ini文件(在C:\windows\下)，打开后，在?WINDOWS?下面，“run=”和“load=”是可能加载“木马”程序的途径，必须仔细留心它们。在一般情况下，在它们的等号后面什么都没有，如果发现后面跟有路径与文件名不是你熟悉的启动文件，你的计算机就可能中上“木马”了。比如攻击QQ的“GOP木马”就会在这里留下痕迹。

2、检查system.ini文件(在C:\windows\下)，在BOOT下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”，如果不是“explorer.exe”，而是“shell= explorer.exe 程序名”，那么后面跟着的那个程序就是“木马”程序，然后你就要在硬盘找到这个程序并将其删除了。这类的病毒很多，比如“尼姆达”病毒就会把该项修改为“shell=explorer.exe load.exe -dontrunold”。

下面结合具体的实例来分析木马的启动并提出常见的木马清除方法。
1、从菜单中加载。如果自动加载的文件是直接通过在Windows菜单上自定义添加的，一般都会放在主菜单的“开始->程序->启动”处，在Win98资源管理器里的位置是“C:windowsstart menuprograms启动”处。通过这种方式使文件自动加载时，一般都会将其存放在注册表中下述4个位置上：
HKEY_CURRENT_USERSoftwareMicrosoft WindowsCurrentVersionExplorerShell Folders HKEY_CURRENT_USERSoftwareMicrosoft
WindowsCurrentVersionExplorerUser Shell Folders
HKEY_LOCAL_MACHINESoftwareMicrosoft
WindowsCurrentVersionexplorerUser Shell Folders
HKEY_LOCAL_MACHINESoftwareMicrosoft
WindowsCurrentVersionexplorerShell Folders
通过这种方式实现木马自动加载时，如果是在Win98系统下还可以直接运行Msconfig命令在“启动”处查看，下边将要涉及的system.ini、win.ini、autoexec.bat等文件也都可以用这个命令来查看。通过菜单启动最典型的木马例子是“求职信”（W97M_Resume.A）病毒，这种新病毒除了试图自动发出邮件实现连环感染之外，还会删除磁盘中的全部文件，带这种病毒的信件标题为：Resume-Janet Simons，带有附件Explorer.doc，用户一旦执行附加文件，即会遭到病毒传染。
如果将其手工清除，除了需要删除该病毒文件之外，还需要做以下工作：
（1）检查ATAnormal.dot，直接删除该文件。
（2）如果 C:windowsstartmenuprograms 。startup目录下有explorer.doc这个文件，删除它。

2、通过win.ini和system.ini来加载木马。在Windows系统中，win.ini和system.ini这两个系统配置文件都存放在C:windows目录下，你可以直接用记事本打开。可以通过修改win.ini文件中windows节 的“load=file.exe ，run=file.exe”语句来达到木马自动加载的目的。此外在system.ini中的boot节，正常的情况下是“Shell=Explorer.exe”（Windows系统的图形界面命令解释器）。如果此处修改成其他的可执行文件就可以实现木马的加载，例如“妖之吻”病毒，电脑每次启动后就自动运行程序yzw.exe，修改的方法是编辑 system.ini，将“shell=yzw.exe”还原为“shell=explorer.exe”就可以了。如TROJ_BADTRANS.A病毒，就是通过E-mail传递的，它能将木马种到用户的计算机中以窃取用户的资料，会更新win.ini以便在下一次重新开机时执行。
执行清除的步骤如下：
（1）在DOS命令行中输入win.ini并运行。
（2）将win.ini文本文件中：RUN=“C:%WINDIR%INETD.EXE”这行删除，仅保留“run=”。
（3）启动病毒查杀软件，将查找出的带有TROJ_BADTRANS.A病毒的文件删除 。

3、通过在注册表中实现。木马只要被加载，尽管有可能会隐藏得比较好，但一般都会在注册表中留下痕迹。一般来说，木马在注册表中自动加载的实现是在HKEY_LOCAL_MACHINESoftware MicrosoftWindowsCurrentVersion下的RunServices、RunServicesOnce、Run、RunOnce等子键，以HKEY_CURRENT_USERSoftware MicrosoftWindowsCurrentVersion下的Run、RunOnce、RunServices等子键处。 此外在注册表中的HKEY_CLASSES_ROOT
exefileshellopencommand=““%1” %*”处，如果其中的“%1”被修改为木马，那么每次启动一个该可执行文件时木马就会启动一次，例如著名的冰河木马就是将TXT文件的Notepad.exe改成了它自己的启动文件，每次打开记事本时就会自动启动冰河木马，做得非常隐蔽。TROJ_NAVIDAD.A就是通过上述方式启动的，它以E-mail夹带附件“NAVIDAD.EXE”进行散播。如果执行该附件，电脑就会中毒，该病毒会将自己转发给电脑通讯录里所有的好友名单，并修改Windows的注册表。
这种方式的木马手工清除，步骤如下：
（1）键入DOS命令以重新命名regedit.exe为 regedit.com
（2）运行注册表程序，找到下列键值 ： HKEY_CLASSES_ROOT exefileshellopencommand。
（3）在这个键值中将Default的值“% windir%SYSTEMWINSVRC.EXE““%1”%*” where %windir%”中““%1”%*”以外部分删除。
（4）同步骤2，进入以下注册表的值： HKEY_LOCAL_MACHINESoftwareMicrosoft WindowsCurrentVersionRun。
（5）选择Win32BaseServiceMOD = %windir%SYSTEMWINSVRC.EXE ，并删除。
（6）进入DOS模式，重新命名regedit.com为 regedit.exe。 （7）用查毒软件在硬盘上查找所有含TROJ_ NAVIDAD.A病毒的文件，不管是否为隐含文件，一律删除。

4、通过c:windowswininit.ini文件。很多木马程序在这里做一些小动作，这种方法往往是在文件的安装过程中被使用，程序安装完成之后文件就立即执行，与此同时安装的原文件被Windows删除干净，因此隐蔽性非常强，例如在wininit.ini中如果Rename节有如下内容: NUL=c:windowspicture.exe，该语句将 c:windowspicture.exe发往 NUL, 这就意味着原来的文件pictrue.exe已经被删除，因此它运行起来就格外隐蔽。

5、Autoexec.bat。这是木马在DOS模式下每次自动加载的方法，例如恋爱配对病毒转寄的邮件主题为“Matcher”，而附件文件名则为“matcher.EXE”。
手工清除该木马可以按照如下步骤进行：
（1）执行regedit命令并将HKEY_LOCAL_ MACHINESoftwareMicrosoftWindows CurrentVersionRun的值“C:%winsys%matcher.exe”删除。
（2）打开autoexec.bat文件 ，将下列内容删除并存盘：
echo off
echo from: Bugger
pause
（3）在电脑上用查毒软件查找带有troj_macher.a病毒的文件并将其删除

6、利用Explorer来加载文件。在Windows 95/98和Windows ME系统中，Explorer作为Windows图形界面的命令解释器，每次在系统启动时加载，Explorer.exe的加载是通过system.ini文件来进行的。system.ini文件在配置中本身没有提供路径信息，因此如果 c:explorer.exe存在，那么将直接运行它，否则就会去执行 c:$winpathexplorer.exe。而对于Windows NT/2000系统来说，首先要“请示”Windows的注册表\HKEY_LOCAL_MACHINE\SOFTWARE\MicrosoftWindows NT\CurrentVersion\WinlogonShell来决定Windows管理系统必须加载的文件名，在缺省情况下 ，这个加载的文件就是 Explorer.exe。 一般情况下，如果木马安装在 c:explorer下，就不需要任何的键值和开始程序。如果c:explorer.exe是一个被绑定或者异常的文件，由于系统开始就会首先加载这个文件，因此用户就可能被感染。

7、隐藏文件后缀名。在Windows系统注册表中的HKEY_LOCAL_MACHINESoftware CLASSESShellScrap下有一个键的名称是“NeverShowExt”，此处NeverShowExt键的主要功能就是隐藏真正的文件后缀名。一个文件名为“Girl.jpg.shs”的文件，很可能在所有的程序中显示为“Girl.jpg”，甚至包括在explorer中。如果注册表中包含NeverShowExt这样的键值，简单的方法就是删除这个键值以便显示所有真正的文件后缀名，这样就防止了木马改名的可能性。
　　
需要特别说明的是，对系统注册表进行删除修改操作前一定要将注册表备份，因为对注册表操作有一定的危险性，加上木马的隐藏较隐蔽，可能会有一些误操作，如果发现错误，可以将备份的注册表文件导入到系统中进行恢复。